Шифрование в WhatsApp вас не спасет, пока вы не будете следовать этим правилам. Что такое сквозное шифрование WhatsApp
В одной из статей мы рассказывали, как на примере Android- и iOS-устройств можно получить информацию из мессенджера Telegram. Сегодня мы поговорим о механизмах шифрования и дешифрования данных в мессенджере WhatsApp.
Введение
Практически каждый из нас в повседневной жизни использует различные приложения для звонков и отправки сообщений. У такого вида коммуникации есть свои преимущества: это удобно и бесплатно. В настоящее время существует множество различных мессенджеров (WhatsApp, Telegram, Viber и т. п.), и каждый пользователь рано или поздно задается вопросом - насколько безопасно использовать тот или иной мессенджер. О безопасности Telegram мы писали в статье .
Стоит отметить, что этот вопрос всегда волнует злоумышленников, которые также используют такой вид связи для общения между собой.
Рисунок 1. Сравнение мессенджеров
По этой теме читателей также наверняка заинтересует подробный , который мы недавно опубликовали.
Шифрование данных в WhatsApp
WhatsApp недавно обновил свой протокол шифрования, чтобы успокоить даже самых параноидальных пользователей. Так называемый сквозной протокол шифрования обещает, что «только вы и человек, с которым вы общаетесь, можете читать то, что отправлено». Никто, даже WhatsApp, не имеет доступа к вашему контенту.
Протокол безопасности описывается в блоге:
Когда вы отправляете сообщение, единственным человеком, который может его прочитать, является личный или групповой чат, на который вы отправляете это сообщение. Этого сообщения не видит никто. Не киберпреступники. Не хакеры. Не репрессивные органы. Даже мы. Сквозное шифрование помогает сделать связь через WhatsApp private - вроде как беседы лицом к лицу.
Новая функция также доступна на самых разных мобильных платформах, включая iPhone, Android, Windows и многих других. Вы даже можете использовать сквозную функцию шифрования на WhatsApp Web, платформа обмена сообщениями, предназначенная для ПК или Mac.
Кроме того, WhatsApp сообщает в разделе часто задаваемых вопросов, что функция включена всегда:
Важно: сквозное шифрование активируется, если все стороны используют последнюю версию WhatsApp. Сквозное шифрование отключить невозможно.
Обновление до сквозного шифрования
Однако вам нужно будет убедиться, что шифрование включено. Для этого: обновите WhatsApp до последней версии и попросите человека или группу, с которой вы общаетесь, сделать то же самое. Нет необходимости в дополнительном приложении или функции.
Чтобы убедиться, что функция обновлена, запустите чат и нажмите на имя своего друга или членов семьи вверху. Затем вы попадете на страницу своей контактной информации, которая отобразит, будут ли ваши сообщения зашифрованы, как вы можете видеть в выделенной части на рисунке ниже.
Если чат не зашифрован, нажмите на шифрование, чтобы просмотреть QR-код и уникальный 60-значный номер. WhatsApp говорит, что уникальный «ключ» делится только между получателями сообщений, причем каждый ключ уникален для каждого чата.
Затем вы можете делиться цифрами или кодом с друзьями или семьей. Если ваш друг или члены семьи находятся поблизости, вам повезло. Вы можете сканировать код друг друга, чтобы убедиться, что ваши чаты активированы. Если они далеко, отправьте им 60-значный код с помощью SMS, электронной почты и т. д. Через кнопку совместного доступа на вашем iPhone, Android или телефоне Windows.
Вот и все, ваши чаты теперь зашифрованы.
WhatsApp все еще сохраняет ваши данные
Будьте осторожны. Согласно WhatsApp legal, информация о дате и времени хранится на серверах WhatsApp в течение короткого периода времени:
WhatsApp может сохранять информацию о дате и времени, связанные с успешно доставленными сообщениями и номерами мобильных телефонов, участвующих в сообщениях, а также любую другую информацию, которую WhatsApp юридически вынуждена собирать. Файлы, которые отправляются через службу WhatsApp, будут находиться на наших серверах после доставки в течение короткого периода времени, но будут удалены и лишены любой идентифицируемой информации в течение короткого периода времени в соответствии с нашими общедоступными политиками хранения.
Это означает, что ваши метаданные или информация о ваших данных потенциально уязвимы для хакеров - это одна из проблем, которая заставляет пользователей беспокоиться.
Что это значит? Это означает, что информация - например, когда было сделано изображение, когда оно было принято, и т. д. - может храниться на серверах WhatsApp в течение короткого периода времени. И хотя само изображение, скорее всего, не присутствует, информация об изображении, документе, видео и т. д. остается.
Кроме того, ваши метаданные также могут быть доступны маркетинговым группам, что соответствует другому недавнему обновлению, которое позволяет чат-приложению «общаться с бизнесом и организациями». Этот бит информации был сделан, когда приложение было объявлено бесплатным для всех пользователей мира.
WhatsApp анонсировала с обновлением, что сторонних объявлений или спама не будет, но неопределенная фраза «общение с предприятиями и организациями» по-прежнему оставляет открытые ворота интерпретации.
В частности, изменения были сделаны. И большинство пользователей, похоже, очень довольны обновлением, которое обещает защитить вашу информацию.
Есть ли причины для беспокойства?
Ранее голландский разработчик обнаружил, что информация о временной шкале приложения была доступна с помощью программного обеспечения под названием WhatSpy Public, что, по-видимому, может «показать хронологию онлайн-статуса отслеживаемого пользователя».
Дизайнер программного обеспечения Майкель Зверинк вызвал много беспокойства, доказав, что он может «шпионить» за пользователями с его приложением.
Пока еще не видно, может ли приложение отслеживать пользователей с последним сквозным обновлением шифрования. Но пользователи должны быть предупреждены: шифрование не является полностью надежной.
Что вы об этом думаете? Вы используете WhatsApp? Вас беспокоит безопасность данных во время использования приложения? Вы регулярно обновляете приложение? Сообщите нам об этом в комментариях ниже.
Шифрование сообщений в Whatsapp - что это и зачем это стало нужно? Такой вопрос задают многие пользователи этого приложения, уже ставшего популярным. Об этом и о многом другом пойдет речь далее.
Зачем нужно шифрование?
Зачем владелец Ватсап включил шифрование? Доподлинно не известно, что за конфликт произошел между силовыми структурами стран, их объединений и руководством компании, но теперь Whatsapp шифрует полностью все данные, которые посылаются пользователями. Получается, что только отправителю и получателю сообщений видно их содержание. Сюда относятся:
- Текстовое сообщение, в том числе смайлики.
- Картинка.
- Видео.
- Фотография.
- Скомпилированные (смешанные) файлы.
- Звонок (аудиосообщение).
По сути, включить шифрование нужно было, чтобы противостоять киберпреступникам и иным пользователям, физическим и юридическим лицам, могущим иметь доступ к подобного рода данным. Даже для самой компании переписки индивидуальных пользователей теперь полностью закрыты для просмотра. Хотите вы этого или нет, общаясь в этой Сети с помощью групповых чатов, вы будете обмениваться данными с защитой их содержимого, которое нельзя убрать.
Ян Кум, один из владельцев Вацап, считает, что данные, посылаемые пользователями друг другу, не могут быть использованы другими лицами либо просматриваться ними. Именно поэтому нужно шифрование в Whatsapp. Оно называется «end-to-end encryption» и производится по умолчанию. Расшифровка также производится автоматически устройством получателя сообщения.
Что такое сквозное шифрование?
Если вы используете для переговоров в Вацапе последнюю версию программы Whatsapp IOS, все сообщения, посылаемые собеседнику, в обязательном порядке шифрует специальное программное обеспечение. Это и называется “сквозное шифрование”. Факт его наличия дает стопроцентные гарантии конфиденциальности любому пользователю. Так как данный вид защиты информации активирован все время, отключить его невозможно, да и не нужно.
При каждой отправке любого по объему и содержанию сообщения оно кодируется отдельно (это значит, что вы защищены), поэтому имеет собственный ключ. Он есть только у того, кто отсылал сообщение, а также у предполагаемого получателя этой информации.
Вы сможете проверить кодировку одним из следующих способов:
Особенно просто сделать второй вариант проверки, если вы с вашим собеседником можете встретиться в реальной жизни, то есть территориально находитесь близко. В таком случае один из вас может отсканировать QR-код с устройства товарища (неважно, Android это или другое устройство), с которого он пользуется Ватсапом, либо визуально сравнить все шестьдесят цифр.
Обратите внимание на то, что даже 60 цифр QR-кода – это не вся “шифровка”, а только ее часть. Скрытие от всех части кода – это дополнительная мера, которая обеспечит безопасность общения и обмена информацией.
Если же код не совпал, это значит, что вы по ошибке просканировали код другого чата или другого пользователя. Также это может свидетельствовать об устаревшей версии программы. О том же самом говорит сообщение об отсутствии шифрования, выскакивающее при попытке узнать этот код.
Описанный выше процесс называется “Подтвердить код безопасности”, но обязательной процедурой это не является.
Вы можете также проверить любой из чатов на соответствие этим новым стандартам безопасности. Для этого требуется зайти в нужный контакт в программе, нажать “Посмотреть контакт”, выбрать “Шифрование”. После удачного прохождения проверки можно отправлять голосовые сообщения, текстовые сообщения, содержащие смайлики и любую другую информацию. Теперь можно не беспокоиться. Любые вторжения извне при общении вам не страшны!
Как работает шифрование?
Этот вид защиты посылаемых данных работает следующим образом:
- Пользователь А (точнее, его устройство) запрашивает у сервера компании, обладающей программой-мессенджером, открытый ключ.
- Происходит отправка сообщения от А к В, предварительно закодированного этим ключом.
- Устройство пользователя В выполняет после получения расшифровку сообщения.
Итак, в современном мире, наполненном информацией, как полезной, так и вредной или неверной, необходимо защищать данные от несанкционированных воздействий и кражи. При использовании Вацапа такое кодирование-защита может осуществляться автоматически.
Большинство современных сервисов ради безопасности исключают работу с незашифрованным соединением. Особенно активно в этой области работает Гугл, который к лету 2018 года собирается специальным значком «награждать» сайты, у который не стоит сертификат HTTPS.
Тема шифрования непосредственно связана с криптовалютами. Но в свете последних событий (ситуация с Телеграм и заявление Вконтакте), все чаще пользователи интересуются спецификой сквозного шифрования (оно же оконечное, end-to-end).
Как мы понимаем из контекста, оконечное шифрование необходимо для защиты собственных персональных данных. Без дополнительной защиты файлы из облака, почта и личные документы будут запросто просмотрены злоумышленником или иной заинтересованной стороной.
Что такое оконечное шифрование
Это ситуация, когда две стороны передают друг другу сообщения, и только они имеют доступ к этой информации. Третья сторона не может расшифровать эти данные, поскольку ключи шифрования хранятся на устройствах лиц в диалоге. Таким образом, нельзя дать какой-то один ключ от всей системы, для каждого пользователя он уникален. End-to-end позволяет переносить информацию через разные сервисы, не волнуясь за ее безопасность. Только получатель сможет расшифровать сообщение, ему адресованное.
Примеры использования
Сквозное шифрование может использоваться по-разному. Одним из примеров является прямое подключение покупателей и продавцов к электронной платежной системе или производству. Это происходит, когда одна компания предоставляет услугу другой, что управляет продажами, отслеживанием заказов и доставкой товара.
Другим примером E2E-шифрования является участие третьей стороны в работе. Компании часто стремятся быть ведущим поставщиком всех услуг от начала до конца. Единый поставщик комплексных услуг часто бывает в технологической отрасли. Решения по шифрованию возникают, когда поставщик услуг отвечает за покупку, установку, внедрение, обслуживание и взаимодействие с пользователем.
Самое популярное - почта, мессенджеры и чаты.
Мессенджеры со сквозным шифрованием E2E
Signal Private Messenger
Signal Private Messenger получил поддержку от Эдварда Сноудена и занял видное место среди самых безопасных приложений для обмена сообщениями. Он использует расширенное сквозное шифрование для защиты всех сообщений.
Signal Private Messenger бесплатен и довольно прост в использовании,поставляется с открытым исходным кодом: эксперты могут оценить код приложения на наличие каких-либо багов.
Подходит для Android и iOS, Chrome.
Telegram - стойкий борец за шифрование данных
Telegram соединяет людей по всему миру через уникальную сеть дата-центров. Известно, что он обеспечивает такую безопасность, которая никогда не дает доступа третьим лицам к вашим данным. Когда пользователь включает функцию «секретные чаты», сообщения могут автоматически самоуничтожаться на всех задействованных устройствах. Кроме того, можно установить опцию для самоуничтожения аккаунта в течение установленного времени.
Приложение несет в себе все необходимые функции, такие как отправка медиафайлов, видео, документов любого типа, а также дает возможность настроить ботов для конкретных задач.
Существует для Android и iOS, десктопа и в web-версии.
Threema
Threema является одним из надежных приложений обмена сообщениями для Android, iOS и Windows phone. Приложение является платным (2,99 доллара).
Приложение не запрашивает адрес электронной почты или номер телефона при регистрации. Вместо этого предоставляет уникальный идентификатор Threema. В дополнение к текстовым сообщениям, Threema обеспечивает end-to-end шифрование для голосовых вызовов, групповых чатов, файлов и даже статусов. Сообщения, отправленные из приложения, немедленно удаляются с серверов после их доставки.
Threema использует сеть с открытым исходным кодом и Криптографическую библиотеку (NaCl) для защиты связи.
WhatsApp предоставляет шифрование
WhatsApp является одним из самых популярных и безопасных приложений для обмена сообщениями: ему доверяют более 1 миллиарда пользователей. В 2014 году приложение сотрудничало с Open Whisper Systems, чтобы интегрировать тот же протокол для чата, что и в Signal. Думаю, лишних слов здесь не нужно, вы и так знакомы с этим мессенджером с защитой сквозным шифрованием
Wickr Me
Wickr Me - еще одно впечатляющее приложение для передачи зашифрованных сообщений на Android и iOS. Он шифрует каждое сообщение с помощью расширенного сквозного шифрования. Вы можете отправлять самоуничтожающиеся сообщения, фотографии, видео и голосовые сообщения другим пользователям Wickr.
Приложение ввело функцию «Шредер», которая безвозвратно удаляет все ваши чаты и общий медиа-контент. Вы можете установить таймер для сообщений. Wickr не требует номера телефона или адреса электронной почты при регистрации и не хранит никаких метаданных, связанных с вашим общением в нем.
Также приложение является полностью бесплатным для использования, и он не отображает никаких объявлений.
Dust
Приложение ранее было известно как Cyber-Dust. Все разговоры высоко зашифрованы, Dust не хранит сообщения в постоянном хранилище. Вы можете настроить сообщения на удаление сразу после того, как получатель их прочитает.
Приложение отключило возможность делать скриншоты сообщений. Он автоматически обнаруживает и уведомляет вас, если кто-то делает скриншот - это делает его одним из самых безопасных приложений обмена сообщениями. Кроме того, Dust также является социальной сетью: позволяет пожписываться, отправлять и получать текстовые сообщения, стикеры, ссылки, видео и многое другое.
Доступно бесплатно для iOS и Android.
Silence
Ранее было известно как SMS Secure. Приложение использует Axolotl для обеспечения оконечного шифрования между пользователями мессенджера. Если у другой стороны не установлено приложение, вы все равно можете общаться с получателем сообщений, как по SMS.
Silence работает как обычное SMS-приложение, поэтому не требует подключения к серверу или интернету на телефоне. Вам не нужно регистрироваться, платить. Также приложение поставляется с открытым исходным кодом.
Помимо вышеупомянутых безопасных текстовых приложений, есть еще несколько. Facebook Messenger и Imessage от Apple тоже обеспечивают шифрование, но они столкнулись с властями. Тем не менее, многие мессенджеры вводят end-to-end шифрование, чтобы быть конкурентоспособными, так как пользователь выбирает безопасность личных данных.
Четыре совета, которым необходимо следовать всем, кто опасается утечки личных данных.
Но прежде чем вы начали распространять через WhatsApp свои планы по свержению мирового капитализма, учтите, что перехват сообщений по время их передачи – всего лишь один из способов следить за вами, причем довольно маловероятный. От шифровки самой по себе не много толку, если вы также не следуете приведенным ниже правилам.
Вы не сохраняете сообщения в телефоне
Если вы действительно хотите, чтобы ваши сообщения никто кроме вас не прочитал, удаляйте их сразу после прочтения. Если кто-то завладеет вашим телефоном (украдет, например) и сможет разблокировать его – что совсем недавно удалось ФБР с iPhone стрелка из Сан-Бернардино – он получит доступ ко всему, что хранится в памяти. Некоторые мессенджеры, например , имеют функцию «самоуничтожения», при активации которой сообщения автоматически удаляются через заданный промежуток времени. В WhatsApp такой функции пока нет. (С другой стороны, в Telegram оконечное шифрование не работает по умолчанию, нужно его включать специально.)
Вы не сохраняете сообщения в облако
WhatsApp не сохраняет вашу переписку на своих серверах. Но, к примеру, на можно сохранять резервную копию сообщений на iCloud, облачном сервисе . Как только информация попадает на облако, ее может перехватить правительство.
Signal – это приложение, популярное среди сторонников неприкосновенности личной переписки. В нем используется та же технология шифрования, что и в WhatsApp, а резервного копирования в облако не происходит.
Way to go WhatsApp, but I"m not ready to give up Signal. I fear that many of my WhatsApp friends have enabled unencrypted cloud backups.
Christopher Soghoian (@csoghoian) 5 апреля 2016 г.
Отличная работа, WhatsApp, но я пока не готов отказаться от Signal. Подозреваю, что у многих моих друзей в WhatsApp включена копирование в облако.
Кристофер Согойан (@csoghoian)